Af Eskil Sørensen, 07/06/24
Der er blevet udgivet PoC-udnyttelse på en Apache HugeGraph server-sårbarhed.
Det skriver The Register.
Sårbarheden, CVE-2024-27348, findes i open source-grafdatabasen og er en remote code execution-sårbarhed. Den blev afsløret af Apache Software Foundation i april og fik dengang en CVSS-score på 9,8. Den findes i versioner af HugeGraph-Server 1.0.0, som altså er ældre end den version med nummeret 1.3.0, der blev udgivet i april.
Sårbarheden kan misbruges til at omgå sandkasserestriktioner og opnå mulighed for fjernafvikling af kode ved hjælp af specielt udformede Gremlin-kommandoer. Disse vil kunne udnytte manglende refleksionsfiltrering i SecurityManager, fremgår det af The Register.
Selve udnyttelseskoden skal være tilgængelig på GitHub, og har man ikke opdateret sit system, er det en god anledning til at gøre det.
Apache HugeGraph er en løsning, der lader udviklere bygge applikationer baseret på grafdatabaser og bruges almindeligvis i Java 8- og Java 11-miljøer.
Links:
https://www.theregister.com/2024/06/07/poc_apache_hugegraph/
https://github.com/kljunowsky/CVE-2024-27348